📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça chamado Mr_Rot13 foi atribuído à exploração de uma falha crítica recentemente divulgada no cPanel para implantar um backdoor de codinome Filemanager em ambientes comprometidos.
O ataque explora CVE-2026-41940, uma vulnerabilidade que afeta o cPanel e o WebHost Manager (WHM) que pode resultar em um desvio de autenticação e permitir que invasores remotos obtenham controle elevado do painel de controle.
De acordo com um novo relatório do QiAnXin XLab, o defeito de segurança foi explorado por vários agentes de ameaças logo após sua divulgação pública no final do mês passado, resultando em comportamentos maliciosos como mineração de criptomoedas, ransomware, propagação de botnet e implantação de backdoor.
“Os dados de monitoramento mostram que mais de 2.000 IPs de origem de invasores em todo o mundo estão atualmente envolvidos em ataques automatizados e atividades de crimes cibernéticos visando esta vulnerabilidade”, disseram os pesquisadores do XLab. “Esses IPs são distribuídos em diversas regiões do mundo, originando-se principalmente da Alemanha, dos Estados Unidos, do Brasil, da Holanda e de outras regiões.”
Uma análise mais aprofundada da atividade de exploração em andamento descobriu um script de shell que usa wget ou curl para baixar um infector baseado em Go de um servidor remoto ("cp.dene.[de[.]com") projetado para implantar um sistema cPanel comprometido com uma chave pública SSH para acesso persistente, além de descartar um shell da web PHP que facilita o upload/download de arquivos e a execução remota de comandos.
O web shell é então usado para injetar código JavaScript para servir uma página de login personalizada para roubar credenciais de login e desviá-las para um sistema controlado pelo invasor que é codificado usando a cifra ROT13 ("wrned[.]com"). Depois que os detalhes são transmitidos, a cadeia de ataque culmina com a implantação de um backdoor multiplataforma capaz de infectar sistemas Windows, macOS e Linux.
O infectador também está equipado para coletar informações confidenciais do host comprometido, incluindo histórico do bash, dados SSH, informações do dispositivo, senhas de banco de dados e aliases virtuais do cPanel (também conhecidos como valiases), para um grupo Telegram de 3 membros criado por um usuário chamado “0xWR”.
Na sequência de infecção analisada pelo XLab, o Filemanager é entregue através de um script de shell baixado do domínio "wpsock[.]com". O backdoor suporta gerenciamento de arquivos, execução remota de comandos e funcionalidade de shell.
Há sinais de que o autor da ameaça por trás da operação tem operado silenciosamente nas sombras durante anos. Esta avaliação baseia-se no facto de o domínio de comando e controlo (C2) incorporado no código JavaScript ter sido utilizado num backdoor baseado em PHP ("helper.php") que foi carregado na plataforma VirusTotal em abril de 2022. O domínio foi registado pela primeira vez em outubro de 2020.
“Ao longo dos seis anos, de 2020 até o presente, a taxa de detecção de amostras e infraestrutura relacionadas ao Mr_Rot13 em produtos de segurança permaneceu extremamente baixa”, disse XLab.
O ataque explora CVE-2026-41940, uma vulnerabilidade que afeta o cPanel e o WebHost Manager (WHM) que pode resultar em um desvio de autenticação e permitir que invasores remotos obtenham controle elevado do painel de controle.
De acordo com um novo relatório do QiAnXin XLab, o defeito de segurança foi explorado por vários agentes de ameaças logo após sua divulgação pública no final do mês passado, resultando em comportamentos maliciosos como mineração de criptomoedas, ransomware, propagação de botnet e implantação de backdoor.
“Os dados de monitoramento mostram que mais de 2.000 IPs de origem de invasores em todo o mundo estão atualmente envolvidos em ataques automatizados e atividades de crimes cibernéticos visando esta vulnerabilidade”, disseram os pesquisadores do XLab. “Esses IPs são distribuídos em diversas regiões do mundo, originando-se principalmente da Alemanha, dos Estados Unidos, do Brasil, da Holanda e de outras regiões.”
Uma análise mais aprofundada da atividade de exploração em andamento descobriu um script de shell que usa wget ou curl para baixar um infector baseado em Go de um servidor remoto ("cp.dene.[de[.]com") projetado para implantar um sistema cPanel comprometido com uma chave pública SSH para acesso persistente, além de descartar um shell da web PHP que facilita o upload/download de arquivos e a execução remota de comandos.
O web shell é então usado para injetar código JavaScript para servir uma página de login personalizada para roubar credenciais de login e desviá-las para um sistema controlado pelo invasor que é codificado usando a cifra ROT13 ("wrned[.]com"). Depois que os detalhes são transmitidos, a cadeia de ataque culmina com a implantação de um backdoor multiplataforma capaz de infectar sistemas Windows, macOS e Linux.
O infectador também está equipado para coletar informações confidenciais do host comprometido, incluindo histórico do bash, dados SSH, informações do dispositivo, senhas de banco de dados e aliases virtuais do cPanel (também conhecidos como valiases), para um grupo Telegram de 3 membros criado por um usuário chamado “0xWR”.
Na sequência de infecção analisada pelo XLab, o Filemanager é entregue através de um script de shell baixado do domínio "wpsock[.]com". O backdoor suporta gerenciamento de arquivos, execução remota de comandos e funcionalidade de shell.
Há sinais de que o autor da ameaça por trás da operação tem operado silenciosamente nas sombras durante anos. Esta avaliação baseia-se no facto de o domínio de comando e controlo (C2) incorporado no código JavaScript ter sido utilizado num backdoor baseado em PHP ("helper.php") que foi carregado na plataforma VirusTotal em abril de 2022. O domínio foi registado pela primeira vez em outubro de 2020.
“Ao longo dos seis anos, de 2020 até o presente, a taxa de detecção de amostras e infraestrutura relacionadas ao Mr_Rot13 em produtos de segurança permaneceu extremamente baixa”, disse XLab.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cpanel #cve202641940 #sob #exploração #ativa #para #implantar #backdoor #do #filemanager
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário